发布于: Jun 19, 2023
客户现在可以对 Amazon S3 中的对象应用两层独立的服务器端加密。使用存储在 Amazon Key Management Service 中的密钥进行双层服务器端加密(DSSE-KMS),旨在满足 CNSSP 15 和静态数据功能包(DAR CP)5.0 版的双层加密指南。截至本文发布之日,S3 是唯一允许客户在对象级别应用两层加密,并控制用于这两层加密的数据密钥的云对象存储服务。DSSE-KMS 等 Amazon S3 功能已经通过绝密工作负载使用审查和认可,令所有客户都可受益。
DSSE-KMS 可简化对数据应用双层加密的过程,无需投资客户端加密所需的基础设施。每层加密都使用不同的采用伽罗瓦计数器模式(Galois Counter Mode,简称 AES-GCM)算法的 256 位高级加密标准实现。DSSE-KMS 使用 Amazon Key Management Service(KMS)来生成数据密钥,让客户能够通过设置每个密钥的权限和指定密钥轮换计划,从而控制客户管理型密钥。借助 DSSE-KMS,客户现在可以使用 Amazon Athena、Amazon SageMaker 等亚马逊与科技服务,来查询和分析其双层加密的数据。
DSSE-KMS 已在所有亚马逊云科技区域免费推出,包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。要了解定价信息,请访问 Amazon S3和 Amazon KMS 定价页面。要详细了解 Amazon S3 支持的所有加密选项,请访问 S3 用户指南。